Trojaner-Board - Bekomme Malware nicht los... aktuell wars pdmn2.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bekomme Malware nicht los... aktuell wars pdmn2.exe (https://www.trojaner-board.de/95224-bekomme-malware-los-aktuell-wars-pdmn2-exe.html)

So, anbei jetzt mein Log nach dem MBRFix

Zitat:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 71):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF7CFD000 \WINDOWS\system32\KDCOM.DLL
0xF7C0D000 \WINDOWS\system32\BOOTVID.dll
0xF77AD000 ACPI.sys
0xF7CFF000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF779C000 pci.sys
0xF77FD000 isapnp.sys
0xF780D000 ohci1394.sys
0xF781D000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
0xF7C11000 compbatt.sys
0xF7C15000 \WINDOWS\System32\DRIVERS\BATTC.SYS
0xF7DC5000 pciide.sys
0xF7A7D000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF7D01000 intelide.sys
0xF777E000 pcmcia.sys
0xF782D000 MountMgr.sys
0xF775F000 ftdisk.sys
0xF7A85000 PartMgr.sys
0xF783D000 VolSnap.sys
0xF7747000 atapi.sys
0xF784D000 disk.sys
0xF785D000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF7727000 fltmgr.sys
0xF7715000 sr.sys
0xF7700000 drvmcdb.sys
0xF786D000 PxHelp20.sys
0xF76E9000 KSecDD.sys
0xF765C000 Ntfs.sys
0xF762F000 NDIS.sys
0xF7C19000 TVALZ.SYS
0xF7615000 Mup.sys
0xF70F3000 kl1.sys
0xF7B65000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xF7087000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF7B95000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xF789D000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF7BB5000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF706F000 \SystemRoot\System32\DRIVERS\Apfiltr.sys
0xF7BFD000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF78BD000 \SystemRoot\System32\DRIVERS\imapi.sys
0xF7D07000 \SystemRoot\system32\drivers\sscdbhk5.sys
0xF78CD000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF78DD000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF704C000 \SystemRoot\System32\DRIVERS\ks.sys
0xF7AED000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xF78ED000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF7D0D000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF6FEE000 \SystemRoot\System32\DRIVERS\update.sys
0xF7C9D000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF78FD000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF7D11000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF7D15000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7DF0000 \SystemRoot\System32\Drivers\Null.SYS
0xF7D19000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7BC5000 \SystemRoot\system32\drivers\ssrtln.sys
0xF7BD5000 \SystemRoot\System32\drivers\vga.sys
0xF6FDA000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0xF7BF5000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7AA5000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF791D000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF6F7A000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7D25000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF70B3000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7B0D000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7F24000 \SystemRoot\System32\drivers\dxgthk.sys
0xBFF70000 \SystemRoot\System32\framebuf.dll
0xBF012000 \SystemRoot\System32\ATMFD.DLL
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 13):
0 System Idle Process
4 System
140 C:\WINDOWS\system32\smss.exe
188 csrss.exe
212 C:\WINDOWS\system32\winlogon.exe
264 C:\WINDOWS\system32\services.exe
276 C:\WINDOWS\system32\lsass.exe
440 C:\WINDOWS\system32\svchost.exe
516 svchost.exe
592 C:\WINDOWS\system32\svchost.exe
768 C:\WINDOWS\system32\ZCfgSvc.exe
856 C:\WINDOWS\explorer.exe
1288 C:\Dokumente und Einstellungen\Claudia\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: WDCWD1200BEVE-00WZT0, Rev: 01.01A01

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

Done!

Nun is alles weg und clean? Hatte mir ja zwischenzeitlich Kaspersky draufgespielt. Is das ok, und wie kann ich regelmäßig meine Daten sichern und alles besser schützen?

Danke schonmal...

LG Claudia

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

So, anscheinend is doch nicht alles clean, zumindest laut SuperAntiSpy...

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 71):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF7CFD000 \WINDOWS\system32\KDCOM.DLL
0xF7C0D000 \WINDOWS\system32\BOOTVID.dll
0xF77AD000 ACPI.sys
0xF7CFF000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF779C000 pci.sys
0xF77FD000 isapnp.sys
0xF780D000 ohci1394.sys
0xF781D000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
0xF7C11000 compbatt.sys
0xF7C15000 \WINDOWS\System32\DRIVERS\BATTC.SYS
0xF7DC5000 pciide.sys
0xF7A7D000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF7D01000 intelide.sys
0xF777E000 pcmcia.sys
0xF782D000 MountMgr.sys
0xF775F000 ftdisk.sys
0xF7A85000 PartMgr.sys
0xF783D000 VolSnap.sys
0xF7747000 atapi.sys
0xF784D000 disk.sys
0xF785D000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF7727000 fltmgr.sys
0xF7715000 sr.sys
0xF7700000 drvmcdb.sys
0xF786D000 PxHelp20.sys
0xF76E9000 KSecDD.sys
0xF765C000 Ntfs.sys
0xF762F000 NDIS.sys
0xF7C19000 TVALZ.SYS
0xF7615000 Mup.sys
0xF70F3000 kl1.sys
0xF7B65000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xF7087000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF7B95000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xF789D000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF7BB5000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF706F000 \SystemRoot\System32\DRIVERS\Apfiltr.sys
0xF7BFD000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF78BD000 \SystemRoot\System32\DRIVERS\imapi.sys
0xF7D07000 \SystemRoot\system32\drivers\sscdbhk5.sys
0xF78CD000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF78DD000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF704C000 \SystemRoot\System32\DRIVERS\ks.sys
0xF7AED000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xF78ED000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF7D0D000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF6FEE000 \SystemRoot\System32\DRIVERS\update.sys
0xF7C9D000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF78FD000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF7D11000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF7D15000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7E1E000 \SystemRoot\System32\Drivers\Null.SYS
0xF7D19000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7BC5000 \SystemRoot\system32\drivers\ssrtln.sys
0xF7BD5000 \SystemRoot\System32\drivers\vga.sys
0xF6FDA000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0xF7BF5000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7AA5000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF791D000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF6F7A000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7D25000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF70B3000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7B05000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7DCA000 \SystemRoot\System32\drivers\dxgthk.sys
0xBFF70000 \SystemRoot\System32\framebuf.dll
0xBF012000 \SystemRoot\System32\ATMFD.DLL
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 13):
0 System Idle Process
4 System
140 C:\WINDOWS\system32\smss.exe
188 csrss.exe
212 C:\WINDOWS\system32\winlogon.exe
264 C:\WINDOWS\system32\services.exe
276 C:\WINDOWS\system32\lsass.exe
440 C:\WINDOWS\system32\svchost.exe
516 svchost.exe
596 C:\WINDOWS\system32\svchost.exe
752 C:\WINDOWS\system32\ZCfgSvc.exe
840 C:\WINDOWS\explorer.exe
1492 C:\Dokumente und Einstellungen\Claudia\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: WDCWD1200BEVE-00WZT0, Rev: 01.01A01

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 Windows 98 MBR code detected
SHA1: 48F01D7E76A0F3C038D08611E3FDC0EE4EF9FD3E

Done!

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/13/2011 at 07:05 PM

Application Version : 4.48.1000

Core Rules Database Version : 6387
Trace Rules Database Version: 4199

Scan type : Complete Scan
Total Scan Time : 02:34:54

Memory items scanned : 588
Memory threats detected : 0
Registry items scanned : 8455
Registry threats detected : 0
File items scanned : 99178
File threats detected : 5

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Claudia\Cookies\claudia@atdmt[1].txt
C:\Dokumente und Einstellungen\Claudia\Cookies\claudia@yadro[1].txt
C:\Dokumente und Einstellungen\Claudia\Cookies\claudia@doubleclick[2].txt

Trojan.Agent/Gen-FakeSecurity
C:\SYSTEM VOLUME INFORMATION\_RESTORE{AD8444DB-4A57-4DB9-A78E-695BBC753172}\RP231\A0036568.EXE

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{AD8444DB-4A57-4DB9-A78E-695BBC753172}\RP234\A0036845.EXE

So, bitte schön...:)

Ich wollte das Log von Malwarebytes und nicht MBRCheck sehen.
SASW hat nur Überreste gefunden.

Sorry... da hatt ich wohl das falsche erwischt... Hier Malwarebytes....

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5749

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

12.02.2011 22:23:48
mbam-log-2011-02-12 (22-23-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 254932
Laufzeit: 1 Stunde(n), 59 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Soll ich denn die Dateien bei SuperAntiSpy löschen oder?

Ja kannste löschen. Da wurden auch nur Cookies und Überreste gefunden. Rechner wieder ok soweit?

Ok, dann hoff ich das es das jetzt erstmal war... Rechner arbeitet einwandfrei für das Alter...:)

Danke schön Arne für deine Hilfe... !!! Echt ne tolle Arbeit die ihr hier macht... Und ich werd mir wohl am nächsten Wochenende den Rechner von meinen Eltern vornehmen müssen. Da komm ich dann nochmal durch... Dort wurden bei nem Lauf von Malwarebytes 11 infizierte Dateien festgestellt und so en "Computer-Spezie" den sie kennen meinte es wär alles wieder clean wenn man die entfernt... da bin ich mir leider nicht so sicher.... Aber ich weiss ja wo mir geholfen wird...

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.